Vaya noticia que se está dando el día de hoy con las declaraciones de Project Zero, el equipo de investigadores de Google. Se han pronunciado sobre Pegasus y lo califican como uno de los exploits más sofisticados que han visto.
Pegasus, una de las amenazas más fuertes que se han visto en cuanto a vulnerabilidades de seguridad
Apenas el mes anterior, Apple presentó una demanda contra NSO Group. Este grupo es el creador del software espía avanzado que vulnera a los iPhone y a dispositivos Android. Pegasus produce que los piratas informáticos accedan a elementos de privacidad tan fuertes como el micrófono del dispositivo, la cámara y los datos confidenciales.
Comenzó con algo tan simple como enviar un enlace a través de un mensaje (iMessage) y después evolucionó a una versión en la que no había necesidad de interactuar con nada. A continuación te dejaremos las declaraciones de Ian Beer y Samuel Gross de Project Zero explicando lo que significa para ellos Pegasus y cómo funciona en su totalidad (vía WIRED).
No hemos visto un exploit capaz de construir una capacidad equivalente desde un punto de partida tan limitado, no es posible la interacción con el servidor del atacante, no se carga JavaScript o un motor de scripting similar, etc. Hay muchos dentro de la comunidad de seguridad que consideran este tipo de exploit – ejecución remota de código de un solo disparo – un problema resuelto. Creen que el peso de las mitigaciones proporcionadas por los dispositivos móviles es demasiado alto para construir un exploit confiable de un solo disparo. Esto demuestra que no solo es posible, sino que se está utilizando en la naturaleza de manera confiable contra las personas.
Es una hazaña haber creado esta vulnerabilidad
La investigación y hallazgos a lo largo del tiempo del equipo Project Zero hacen reflejar que Pegasus representa una hazaña nunca antes vista. Las capacidades de NSO Group superan, con lo que antes se pensaba, capacidades accesibles para un pequeño grupo de estados o sectores nacionales.
La demanda de Apple sería un parteaguas en contra de grupos informáticos malévolos que solamente buscan vulnerar la seguridad de todas y todos los usuarios conectados a internet. Si los de Cupertino resultan con el fallo a favor, ¿seguirán existiendo este tipo de vulnerabilidades? Cuéntanos tus opiniones en la caja de comentarios.
